分析情報
以下でサポートされています。
Google SecOps
SOAR
概要
ハンドブックの機能を強化するために作成された分析情報アクションのセット。
アクション
エンリッチメントからエンティティ分析情報を作成する
説明
エンリッチメント アクションからエンティティ分析情報を作成します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| メッセージ | 文字列 | なし | はい | エンティティの拡充を組み込んだフォーマット済み文字列を指定します。 |
| トリガー | 文字列 | Siemplify | いいえ | 分析情報に関連付けるインテグレーションの名前を指定します。 |
例
このシナリオでは、以前の VirusTotal 拡充アクションから結果を取得し、メッセージを含む分析情報を生成します。このメッセージは、ケースの概要の [分析情報] セクションに表示されます。
アクション構成
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| メッセージ | 危険かどうか: [VirusTotalV3_Enrich IP_1.JsonResult | "is_risky"] |
| トリガー | VirusTotal |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | True/False | true |
JSON からエンティティ分析情報を作成する
説明
エンリッチメント アクションからエンティティ分析情報を作成します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
| JSON | JSON | なし | はい | エンティティ分析情報の生成に使用する JSON を指定します。 |
| Identifier KeyPath | 文字列 | なし | はい | インサイトを関連するエンティティと照合するために、エンティティ ID を検索するキーパスを指定します。 |
| メッセージ | 文字列 | なし | はい | エンティティの拡充を組み込んだフォーマット済み文字列を指定します。 |
| トリガー | 文字列 | Siemplify | いいえ | 分析情報に関連付けるインテグレーションの名前を指定します。 |
例
このシナリオでは、JSON の IP エンティティに基づいてエンティティ分析情報を作成します。
アクション構成
このシナリオでは、JSON の IP エンティティに基づいてエンティティ分析情報を作成します。
| パラメータ | 値 |
| エンティティ | すべてのエンティティ |
| JSON | [{"ip":"172.26.240.1","vt_score":"4"}] |
| Identifier KeyPath | ip |
| メッセージ | VirusTotal スコア |
| トリガー | VirusTotal |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | True/False | true |
複数の JSON からエンティティ分析情報を作成する
説明
エンリッチメント アクションからエンティティ分析情報を作成します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
| Fields4 | 文字列 | なし | いいえ | 4 番目の JSON 文字列から抽出するフィールドを指定します。 |
| JSON4 | JSON | なし | いいえ | 分析対象の 4 番目の JSON 文字列を指定します。 |
| Title5 | 文字列 | なし | いいえ | 5 番目のエンティティ セクションに使用するタイトルを指定します。 |
| Fields5 | 文字列 | なし | いいえ | 5 番目の JSON 文字列から抽出するフィールドを指定します。 |
| JSON5 | JSON | なし | いいえ | 分析対象の 5 番目の JSON 文字列を指定します。 |
| プレースホルダの区切り文字 | 文字列 | 、 | いいえ | 改行する文字列を指定します。 |
| Title1 | 文字列 | なし | いいえ | 最初のエンティティ セクションに使用するタイトルを指定します。 |
| Fields1 | 文字列 | なし | いいえ | 最初の JSON 文字列から抽出するフィールドを指定します。 |
| JSON1 | JSON | なし | いいえ | 分析対象として解析する最初の JSON 文字列を指定します。 |
| Title2 | 文字列 | なし | いいえ | 2 つ目のエンティティ セクションに使用するタイトルを指定します。 |
| Fields2 | 文字列 | なし | いいえ | 2 番目の JSON 文字列から抽出するフィールドを指定します。 |
| JSON2 | JSON | なし | いいえ | 分析対象の 2 番目の JSON 文字列を指定します。 |
| Title3 | 文字列 | なし | いいえ | 3 つ目のエンティティ セクションに使用するタイトルを指定します。 |
| Fields3 | 文字列 | なし | いいえ | 3 番目の JSON 文字列から抽出するフィールドを指定します。 |
| JSON3 | JSON | なし | いいえ | 分析用に解析する 3 番目の JSON 文字列を指定します。 |
| Title4 | 文字列 | なし | いいえ | 4 番目のエンティティ セクションに使用するタイトルを指定します。 |
例
このシナリオでは、IP エンティティに基づいてエンティティ分析情報を作成し、VirusTotal と Crowdstrike の情報で拡充します。
アクション構成
| パラメータ | タイプ |
| エンティティ | すべてのエンティティ |
| Fields4 | 空白 |
| JSON4 | 空白 |
| Title5 | 空白 |
| Fields5 | 空白 |
| JSON5 | 空白 |
| プレースホルダの区切り文字 | 空白 |
| Title1 | VirusTotal スコア |
| Fields1 | エンティティ |
| JSON1 | [{"Entity": "172.26.240.1", "vt_score":"4",
"EntityResult":"true"}] |
| Title2 | Crowdstrike スコア |
| Fields2 | エンティティ |
| JSON2 | [{"Entity": "172.26.240.1", "crowdstrike_score":"4",
"EntityResult":"true"}] |
| Title3 | 空白 |
| Fields3 | 空白 |
| JSON3 | 空白 |
| Title4 | 空白 |
アクションの結果
- スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
| ScriptResult | True/False | true |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。